阿里云提示微擎1.8.2任意文件删除漏洞解决办法

阿里云提示微擎1.8.2任意文件删除漏洞解决办法  

站点目录:/home/wwwroot/web/web/source/founder/display.ctrl.php

阿里云感知给的提示是代码权限控制存在漏洞导致攻击者可任意删除用户。

漏洞修复方法:

找到大约14行代码:

image.png

$founders = explode(',', $_W['config']['setting']['founder']);

在这行代码后面增加一段代码:

$identity = uni_permission($_W['uid']);if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
    itoast('???????', referer(), 'error');
}

阿里云验证即可通过


作者头像
南宫俊逸创始人

君子好学,自强不息~

上一篇:自动化运维之saltstack
下一篇:阿里云 微擎 1.8.2 二次注入漏洞

发表评论